我的VPN隱私程度如何? How Private Is My VPN?
VPN供應商承諾會保障使用者隱私,但是The Markup發現他們的APP和網站充滿追蹤器。
作者: Alfred Ng
原發表於The Markup網站,Ivon Huang翻譯。
過去七年以來,Shannon Morse一直在Youtube上製作關於安全和隱私的小撇步影片,包括VPN (Virtual Private Networks) 的相關內容,以及VPN軟體如何加密你的網路流量,這樣就無法被網路供應商,或者跟你連線到同一Wifi的用戶追蹤網路活動。
VPN供應商常常會宣傳說此類工具能保護隱私,因為他們能夠隱藏你的IP位址、網路供應商、地理位置,防止網站辨認出你的身份。企業員工使用VPN確保能安全的登入內部網路,活動人士使用VPN躲避政府監控,普通用戶可能會使用VPN觀看其他國家無法播放的電視節目。
因其公眾人物身份,Morse使用ProtonVPN這類VPN服務來保障她網上活動的隱私。
她說:「尤其因為我的內容創作者身份,我必須堅持我的安全和隱私標準。」「VPN能保障我在網路上的隱私。」
但當VPN供應商/公司說他們不會紀錄人們的活動,包含瀏覽紀錄、通話紀錄、觀看的電視節目時,不代表他們不會偷偷從使用者和忠實客戶上吸取資料。
為了解VPN供應商想收集的資料內容,The Markup調查了14家VPN供應商的政策。我們還使用了我們的Blacklight工具,偵測VPN供應商網站上的第三方追蹤器。我們還搜尋了Citizen Browser資料庫,研究VPN供應商如何利用個人用戶資料構成的廣告平台,在Facebook上行銷他們的產品。
總結,我們發現了偽善的跡象:即使VPN供應商的首頁和部落格多方強調他們的服務帶來的隱私權好處,但他們的隱私權政策寫的卻是另外一回事。
例如Surfshark在首頁宣稱他們能夠「使用最快的VPN保護你的隱私」但卻在隱私政策裡面說,該公司會蒐集使用者裝置的廣告識別碼,用於市場行銷。
Surfshark的發言人Dom Dimas說:「我們確實會蒐集聚合資料,用於營銷目的。因為在競爭如此激烈的VPN行業中,這些資料對於商業決策是很重要的。」
並非所有的VPN供應商都會追蹤造訪網站的使用者,但有許多網站會這麼做。
其中有8個APP會蒐集VPN使用者的資料,14個網站有10個含有追蹤器。至於那些資料跟Facebook廣告機器的關聯,我們會在一分鐘內揭曉。首先,是我們的調查結果。
VPN供應商會蒐集使用者的哪些資料?
我們挑選了14個最常被Security.org, Wirecutter和PCMag推薦的VPN供應商,另外包含了按照Citizen Browser計畫所分析,最常在Facebook上打廣告的VPN供應商。
| VPN | 廣告追蹤器 | 第三方追蹤器 | Facebook像素 | Google分析 | 隱私權政策中包含追蹤行為 |
|---|---|---|---|---|---|
| StrongVPN | 5 | 3 | 是 | 是 | 是 |
| IPVanish | 6 | 5 | 是 | 是 | 是 |
| ExpressVPN | 6 | 3 | 是 | 是 | 是 |
| ClearVPN | 8 | 2 | 是 | 是 | 是 |
| ProtonVPN | 0 | 0 | 否 | 否 | 是 |
| Mullvad | 0 | 0 | 否 | 否 | 否 |
| IVPN | 0 | 0 | 否 | 否 | 否 |
| Windscribe | 0 | 0 | 否 | 否 | 否 |
| Private Internet Access | 1 | 0 | 否 | 是 | 是 |
| Cyber Ghost | 1 | 0 | 否 | 否 | 是 |
| TunnelBear | 3 | 3 | 否 | 是 | 是 |
| SurfShark | 4 | 2 | 否 | 是 | 是 |
| NordVPN | 7 | 4 | 否 | 是 | 是 |
| VPNBook | 9 | 17 | 否 | 是 | 是 |
| 資料來源:The Markup |
再次強調,沒有一家VPN公司說他們會紀錄使用者資料。但是該公司的隱私權政策允許他們蒐集其他方面的資料。
例如CyberGhost VPN宣稱他們的服務能夠「在所有裝置上保有隱私」, 但是他們的隱私權政策卻說會蒐集裝置上「非個人」的資訊,包含廣告ID,電池電量,陀螺儀(讓手機能自動旋轉螢幕的感測器),還有電信供應商的資料。
CyberGhost並無回覆置評要求。
另一方面,NordVPN說他們會蒐集客戶的使用者ID和裝置ID,用於行銷目的。
NordVPN的發言人Tyler Miller說使用者ID僅是為了辨認付費來源 (例如某人看到廣告而下載APP),但是客戶並未被告知會蒐集該項資料。
Miller在電子郵件說:「我們接受和理解對我們政策的批評,但是數百萬用戶若是沒有VPN,將會更不安全,並且失去一部分隱私。」
ExpressVPN的隱私權政策表示他們會蒐集裝置ID,追蹤使用者從哪裡得知、註冊他們的行動APP。ClearVPN也在隱私權政策中表明他們會蒐集裝置ID。
來自ClearVPN母公司MacPaw的發言人Julia Petryk表示,該公司的政策已在網站上清楚揭露,並且強制使用者在APP內檢視隱私權政策。
Petryk說:「就如同你所提到的,使用者可能已同意蒐集裝置ID,並且這並不算個人資訊。」
雖然該公司的隱私權政策表示蒐集裝置ID需要使用者同意,但若要使用VPN,使用者就必須同意政策。
並且,技術上來說「不是個人資訊」的裝置ID,也是有可能藉由一點一點的資訊辨識出個人身份,有時候甚至能重現出個人軌跡和行為。
致力於推廣數位資料權利的PersonalData.io董事會成員,Paul-Olivier Dehaye表示:「當裝置ID與真實身份聯繫上,事情便會開始失控,問題就大了。」 「這是開啟追蹤生態系的鑰匙。」
就拿最近引起媒體關注的案件當例子吧:一位天主教牧師使用約會軟體Grindr,被教會出版機構追蹤,發現他是一名同性戀。
媒體報導,該機構取得的是商業用途的地理資訊,雖是匿名資料,但那之中包含該名牧師的手機裝置ID。即使資料中並無包含牧師姓名,但是裝置ID和他的生活工作地點產生關聯,因而聯繫到他本人。
我們必須了解到,VPN供應商的隱私政策是建立在信任基礎上,因為這些公司有能力私底下蒐集大量資訊而不為用戶所知。
2017年,民主與科技中心 (Center for Democracy and Technology,CDT) 向聯邦貿易委員會 (FTC) 呈遞訴狀 ,控告Hotspot Shield Free VPN廣告不實。該公司宣稱提供完全的隱私服務,但卻私底下與第三方廣告聯播網分享裝置識別碼資料,重新導向網路流量,以不安全的方式處理使用者資料。
HotSpot Shield Free VPN母公司Aura的首席通訊官,Howard Clabo在電子郵件中說:「CDT發出控訴後,FTC就向我們要求更多資訊,我們就提供相關資訊。之後FTC並無採取任何行動。」
CDT的首席技術官Mallory Knodel表示,雖然蒐集資料做行銷用途是很常見的商業行為,但是VPN供應商這樣做會有傷害聲譽的風險。
Knodel還說:「我們需要一個值得信任VPN的健全生態系。要展示信任程度,就從不蒐集非必要資料開始。」
VPN供應商的網站如何追蹤使用者?
網路上佈滿了數位追蹤器。The Markup之前使用Blacklight工具所作的調查發現,80000個熱門網站中有87%含有第三方cookies或追蹤網路請求。
網站管理者常常會使用這種追蹤器查看有誰造訪他們的網站,查看客群的統計資料,並且進行精準廣告投放。
即使VPN供應商販售的是隱私產品,並不代表他們不會使用這類資料蒐集技術。
我們發現VPN網站上的追蹤器屬於商業銷售公司,像是AppsFlyer、Facebook、Google。
在先前的調查中,這些網站平均有7個廣告追蹤器,3個第三方追蹤器。其中NordVPN, ClearVPN, VPNBook網站上的追蹤器數量高於平均值,VPNBook網站有高達9個廣告追蹤器和17個第三方追蹤器。
VPNBook網站上的FAQ寫道:「這個免費的VPN服務是由我們網站上的廣告和支持者的捐贈所支持。」VPNBook並未回覆置評要求。
NordVPM網站政策上寫道,該網站會使用結合瀏覽器和唯一使用者ID的追蹤器,進行廣告投放。NordVPN的網站還會使用cookies辨識LinkedIn的使用者,以方便在該網站推銷產品。
StrongVPN, IPVanish, ExpressVPN, ClearVPN利用Facebook像素,讓廣告巨頭知道你是否有造訪他們的網站。
經營IPVanish和StrongVPN的VIPRE集團產品長Usman Choudhary表示,VIPRE使用網站上的追蹤器「更好的了解我們網站的訪客,投放廣告以吸引他們再度造訪。」且強調資料是匿名的。
只有4個VPN供應商的網站完全沒有追蹤器,其中有3個VPN APP不會以任何形式追蹤使用者。The Markup的分析發現Mullvad, IVPN, Windscribe, ProtonVPN的網站上都沒有追蹤器。除了ProtonVPN,他們的APP會使用客戶的電郵進行廣告投放,不過APP並不會蒐集任何用於行銷的資料。
在這篇文章發表之後,ProtonVPN的發言人Matt Fossen向我們表示,該公司只會使用電郵來寄送新聞和服務更新訊息。
PersonalData.io的Dehaye說:「有很多人努力拒用Facebook和Google的服務。但要是他們在購買工具的網站上就遭到追蹤,隨後資料被這些公司知道,那就跟他們當初的期望相反了。」 「這正好跟他們使用VPN的初衷背道而馳。」
這些資料會被如何使用?
我們無法確切得知。由個人資料組成的網路廣告系統十分複雜,並且不夠透明。也許VPN使用者手機感測器的資料,能在資料領域某個不起眼的角落轉換成金錢?
不過至少有些追蹤行為很直白:企業常使用網站訪客和使用者的資料,作為行銷用途。我們的Citizen Browser統計資料便能讓我們一窺ExpressVPN這家公司,如何蒐集APP使用者和網站訪客的數據,再將其用於Facebook廣告投放。
我們的Citizen Browser計畫是讓全美國的Facebook使用者跟我們分享他們動態時報的資料,包含動態時報上的廣告,以及Facebook顯示為何你會看到此廣告的資訊。(如果你是Facebook用戶,點一下廣告右上角選單的「為什麼我會看到這個?」就會顯示該資訊。)
我們小組成員的資料顯示ExpressVPN在Facebook上購買許多廣告,並且部份廣告顯示的訊息代表ExpressVPN利用Facebook的自訂廣告受眾功能,來鎖定客群。自訂廣告受眾代表的是廣告主已經辨識,並想要接觸的特定客群。
Citizen Browser小組成員於5月20日看到ExpressVPN有49折優惠的廣告。我們的資料顯示,該廣告鎖定的是過去有使用VPN APP的使用者。5個小組成員也在4月看到ExpressVPN的廣告,鎖定曾造訪VPN網站的使用者。
這個廣告策略跟ExpressVPN的部落格說法自相矛盾。他們在一篇5月的部落格貼文說Facebook上的定向廣告「可怕」、「具有侵略性」。而11天前,正是我們小組成員看到他們鎖定APP用戶廣告的時候。
ExpressVPN的副總裁Harold Li在電郵中說:「ExpressVPN使用第三方工具,在第三方平台向曾造訪我們網站的潛在新客戶投放廣告。」
其他公司早已放棄這種廣告策略。
IVPN的行銷長Viktor Vecsei說該公司因為隱私考量,在2019年已停止用追蹤器在Facebook和Google打廣告。他提到這損害了公司營收成長,但對保護隱私來說很值得。
Vecsei說:「這種劃清界線的作法,[代表]我們永遠無法成為第一名的VPN供應商,並且要推廣我們的服務會很辛苦。」 「即使如此,我們也不能為監控企業提供金援,甚至把它當作必要的權衡作法而置之不理。」
至於YouTube內容創作者Morse,她對VPN供應商過度追蹤使用者的行為感到驚訝。
Morse說:「我很難過,因為我原本期望VPN能帶給我隱私。我意思是那就是我們使用它的原因。」 「你會希望他們的承諾包含對你隱私的保護。」
這篇文章原先發布在The Markup上,依照創用CC-姓名標示-非商業性-禁止改作授權重新發表在此。